Archivo para marzo, 2010
La tasa de propagación e infección de códigos maliciosos continúa creciendo y los atacantes cuentas con cada vez más alternativas para robar información sensible y privada tanto de usuarios como de organizaciones. Por tal motivo, es necesario conocer cuáles son las amenazas que se encuentran activas (In-the-Wild).
A continuación exponemos los temas más relevantes en materia de malware que hemos registrado durante el mes de marzo.
- Durante este mes se notó un aumento en cuanto a la utilización de técnicas BlackHat SEO (también llamada SEO Poisoning) para propagar archivos maliciosos en formato PDF y malware del tipo rogue o adware.
Este particular aumento se debió fundamentalmente a una serie de noticias sobre accidentes naturales, como por ejemplo los sucedidos con la erupción de un volcán en Islandia, y eventos importantes como la entrega de los premios Oscar, que lograron acaparar la atención de las personas, y también de los atacantes, incluso, adelantándose a eventos futuros como en el caso del mundial de futbol 2010.
- Se ha alertado sobre casos de phishing que involucran directamente a entidades bancarias y organizaciones gubernamentales de América Latina, con quienes nos contactamos para informar sobre el problema.
Entre ellos, casos de phishing al Banco de Reservas y al Banco Popular Dominicano, ambos de República Dominicana; y un caso donde el phishing a una importante entidad bancaria de Sudáfrica se encontraba alojado en una página gubernamental de Colombia.
- Siempre tratamos de resaltar la importancia que tienen los parches de seguridad para solucionar vulnerabilidades explotadas por el malware actual, es por ello que hemos hecho referencia a dos exploits del tipo 0-Day (detectados por ESET NOD32 como JS/Exploit.CVE-2010-0806 y PDF/Exploit.CVE-2010-0188) diseñados para aprovechar vulnerabilidades en distintas versiones del navegador Internet Explorer y Adobe Reader, siempre propagando malware.
- Se descubrió una importante campaña de infección a través de páginas pornográficas que simulaban ser de PornTube, y la utilización de la red social Fotolog también para propagar una variante de un conocido malware.
- Asimismo también se ha comentado sobre la desaparición de dos redes botnets: Waledac sobre la que hemos dejado en evidencia su capacidad para el envío de spam; y Mariposa compuesta por más de 13 millones de zombis. Las dos poseían un importante nivel de actividades maliciosas.
- Por último, una noticia importante que también tiene que ver con malware y botnet fue la prueba de concepto (PoC) realizada por un grupo de investigadores en torno a la posibilidad de crear una botnet dirigida a dispositivos móviles.
Para obtener mayor información sobre las amenazas destacadas de Marzo, pueden visitar nuestro Ranking de propagación y el informe de amenazas.
Jorge Mieres
Analista de Seguridad
Categories: Reportes mensuales
3 Comments »
Desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica hemos detectado una importante campaña de infección a través de la red de microblogging Twitter y buscadores, mediante la cual se intenta propagar distintos códigos maliciosos.
En el primer caso, la estrategia consiste en utilizar perfiles maliciosos de Twitter para publicar direcciones web supuestamente relacionadas con los atentados en los trenes de Moscú. Cada una de las direcciones publicadas (utilizando acortadores de URL como bit.ly) redirecciona hacia una página que dice mostrar un video en streaming. Sin embargo, a los pocos segundos se advierte, a través de un popup, que se necesita un supuesto códec y ofrece la descarga del mismo (un malware):
Todas las páginas maliciosas que descargan el archivo dañino se encuentran alojadas en una misma dirección IP de un servidor en Israel, señalado como servidor de spam y malware.
Sobre este caso ya hemos detectado más de 1.000 enlaces maliciosos en perfiles de Twitter que están siendo utilizados y por eso desde ESET Latinoamérica estamos trabajando activamente para denunciar y dar de baja esos perfiles.
Esta campaña guarda relación directa con la otra, llevada a cabo a través de técnicas SEO Poisoning o BlackHat SEO. A continuación se muestra una búsqueda relacionada al suceso en Moscú y que lleva a sitios dañinos:
Esto demuestra que puede utilizarse cualquier vector de ataque para propagar malware y lamentablemente las técnicas explicadas constituyen un patrón habitual.
Los archivos descargados en ambos casos serán detectados en forma proactiva por ESET NOD32 como parte de la familia Win32/Kryptic. Por eso, alertamos a los usuarios sobre evitar hacer clic en los mensajes sospechosos de las redes sociales y en los resultados de las búsquedas pero, sobre todo, que mantengan actualizado su ESET NOD32 Antivirus.
Jorge Mieres
Analista de Seguridad
Categories: Alertas, Black Hat SEO, Malware
5 Comments »
Una vez más los atacantes hacen uso de estrategias BlackHat SEO para propagar sus amenazas a través de los populares buscadores. Al igual que lo ocurrido la semana pasada, aprovechando temáticas “de moda” como por ejemplo el mundial de futbol 2010. En esta oportunidad, lo hacen con la particularidad de indexar archivos PDF en lugar de sitios web, como se muestra en la siguiente imagen:
Si el usuario accede al archivo en cuestión, podrá abrir el mismo que no será detectado como peligroso ya que no está infectado ni es dañino. Sin embargo, el mismo posee una serie de enlaces que sí llevarán al usuario a una serie de amenazas:
Nótese que el archivo PDF posee una serie de palabras claves que permiten indexar mejor tanto el mismo archivo como los sitios web enlazados desde el mismo (Google indexa tanto el archivo como cada uno de los enlaces como si el archivo fuera un HTML, como se indica aquí).
De los enlaces a otros sitios pueden observarse diversas amenazas, algunas de ellas son sitios web con ejecución de archivos a través de técnicas de Drive-by-Download y otros son sitios web con enlaces:
Estos enlaces son utilizados para propagar amenazas como rogue y todo tipo de falsas aplicaciones:
Es importante que los usuarios recuerden que los resultados en los buscadores pueden estar manipulados para propagar distintas amenazas, y que todo tipo de archivos, no sólo los sitios web pueden enlazar amenazas.
Recuerden siempre tener instalada una solución antivirus con capacidades proactivas de detección y tener cuidado a la hora de hacer clic en los enlaces.
Sebastián Bortnik
Analista de Seguridad
Categories: Black Hat SEO, Ingeniería Social, Malware en imágenes, Rogue
5 Comments »
En las últimas horas se han detectado casos de malware propagándose a través de correo electrónico y usando un archivo PDF con contenido del próximo mundial de fútbol 2010 como pretexto.
Para fraguar el engaño se tomó un archivo (no dañino) llamado SoccerTravelSouthAfrica.pdf (MD5: f19ec9acece1ace53ce3551eb45bcb7e) que originalmente fue enviado por la organización internacional Greenlife, responsable de llevar adelante safaris en África y que está colaborando en la coordinación del mundial. En base a esto se creó otro archivo dañino con un script inyectado en el mismo y que explota la vulnerabilidad de Adobe Reader CVE-2010-0188, corregida el pasado 16 de febrero. Anteriormente, hace unos días las Proof-of-Concepts disponibles en Internet dieron lugar a este exploit que ESET NOD32 detecta como PDF/Exploit.CVE-2010-0188.
Cualquier usuario que descargue y abra este archivo, si tiene el lector de PDF instalado y sin parchear, podría resultar infectado con un malware descargado posteriormente o perder información sensible de su sistema.
Tal y como adelantamos hace meses en nuestro informe sobre tendencias del Crimeware del Siglo XXI, ya comenzaron a aparecer las primeras amenazas con el mundial de fútbol como excusa. Por lo tanto, comencemos a prevenir instalando las actualizaciones necesarias y ESET NOD32 desde ahora, porque nos esperan muchas mas amenazas en los meses venideros.
Cristian Borghello
Director de Educación
Categories: Alertas, Educación, Ingeniería Social
4 Comments »
Hemos mencionado ya varias veces el compromiso de ESET para con la educación de los usuarios en materia de seguridad de la información, y dadas las consultas que recibimos con frecuencia, nos parece oportuno recordar a los usuarios los distintos recursos gratuitos que ESET Latinoamérica pone a disposición de los usuarios:
- Blogs: además del Blog de Laboratorio (que están leyendo en este momento) dedicado a las novedades más importantes en el mundo de la seguridad informática, en el Blog Corporativo podrán encontrar las novedades más importantes en lo que respecta a la empresa y su presencia en la región.
- Centro de Amenazas: navegando el sitio web de ESET Latinoamérica encontrarán el Centro de Amenazas, la sección donde se agrupan los principales recursos educativos generados por el equipo de Educación. Allí encontrarán, entre otras cosas:
- Tipos de Amenazas: explicación de los distintos tipos de malware existentes, y otras amenazas con sus principales características.
- Artículos: periódicamente el equipo de Laboratorio escribe diversos informes sobre las principales amenazas y problemáticas existentes. Pueden encontrar todos los textos agrupados en categorías para una mejor identificación (white papers, técnicas de infección, consejos para la prevención, etc.).
- Videos Educativos: demostraciones multimedia de distintos tipos de amenazas y las formas de prevenirlas.
- Otros: además podrán encotrar podcast, los reportes de seguridad y estadísticas de malware.
- Plataforma Educativa: Si desean realizar cursos sobre seguridad de la información, que incluya la posibilidad de validar los conocimientos con un examen en línea y la entrega de un certificado de aprobación, ingresen a la Plataforma Educativa donde encontarán varios cursos disponibles.
- Otros recursos: también pueden suscribirse al ESET News para recibir un boletín mensual de noticias, o a la sección de la Gira Antivirus, para conocer los próximos seminarios y charlas del equipo de ESET en la región.
Además, recuerden que hemos puesto a disposición de usuarios hogareños y corporativos la nueva Knowledgebase en Español de ESET, donde podrán encontrar mucha información y soluciones practicas ante la utilización de los productos.
Los invitamos a visitar cada uno de los sitios y seguimos trabajando para brindar cada día más material de utilidad para usuarios tanto en sus hogares como en la empresa, en lo que respecta a educación en seguridad de la información.
Sebastián Bortnik
Analista de Seguridad
consejos para la prevención
Categories: Educación
10 Comments »
|
